您现在的位置是:首页 > 行业 > 制造 >
汽车制造业信息安全保障管理关键过程
2012-11-28 10:41:26作者:孙磊 刘玉英 董如楠 李阳 贾旭来源:
摘要随着企业信息化广泛深入应用,信息安全问题也日益突出且越来越关系企业的命运,在信息安全领域,很多企业在内网安全方面虽然有信息安全相关产品的部署,但都缺乏统一的安全策略,上下级网络间也缺乏很好的联动管理与维护……...
引言
随着信息技术的迅猛发展,信息系统被企业的广泛应用,信息及信息系统对汽车制造企业来说,不仅只意味着财富和实力,而且已经成为企业的重要战略资源及赖以生存的血液,对企业的生存、发展起着至关重要的作用。十七大胡总书记报告中提出:全面认识工业化、信息化、城镇化、市场化、国际化、深入发展新形势、新任务,要大力推进信息化和工业化的融合。信息化是当今世界制造业发展的趋势,更是中国汽车制造业实现跨越发展的重要机遇。同时,随着企业信息化广泛深入应用,信息安全问题也日益突出且越来越关系企业的命运,在信息安全领域,很多企业在内网安全方面虽然有信息安全相关产品的部署,但都缺乏统一的安全策略,上下级网络间也缺乏很好的联动管理与维护,客户端漏洞补丁的下载与执行无法统一,病毒库及补丁升级更新不及时、不准确、不共享,内网病毒及木马等威胁比较多,虽然有防病毒软件,但是无法定位,组织机构不合理,安全监管措施缺失,管理手段落后等,都成为制约企业信息化发展的重要问题。
大量的信息安全事件,已经使人们逐步明白:不是任何的信息安全问题都可以通过技术手段解决的。即便有了技术手段,如果没有管理,也不能真正发挥出技术手段应有的功效。信息安全保障包括技术和管理两个层面,就技术和管理所起的作用而言,管理的比重甚至要大于技术。再先进的技术手段,离开科学合理的管理也不能发挥全部的作用。信息管理就是把分散的信息安全技术因素、人的因素,通过政策规则协调整合成为一体,服务于企业信息化使命的安全目标。因此,参照国际先进的信息安全管理实践经验,结合企业的实际情况以及国家信息安全等级保护要求,以及风险评估等要求建立一套符合国际标准要求的信息安全保障管理体系(Information Security Assurance Management Systems,ISAMS),将有效地从管理、技术、运维等方面提高企业的总体信息安全水平,保障企业的业务持续运行,保护企业的核心竞争力。对于任何企业,采用ISAMS将是一项重要的战略性决策,企业信息化体系结构最重要是信息安全保障,如果没有信息安全保障,企业的信息化就很难健康地发展。
一 信息安全保障管理基础
企业信息安全保障管理指的是通过管理和保护企业所有的信息系统,包括制定信息安全方针策略、风险评估与管理、控制目标及控制手段的选择与实施、制定规范的操作流程、对员工进行安全培训等一系列工作,来维护企业信息系统的机密性、完整性及可用性等的一项体制。通过在信息安全策略(包含信息安全方针)、信息安全组织、信息资产分类与管控、核心人员信息安全、物理与环境包括边界安全、通信操作安全、信息安全访问控制、信息系统获取开发与维护、业务持续性管理、信息安全法律法规符合性等十几个领域内建立管理控制措施,来为企业建立起一张完备的信息安全“保护网”,保证企业信息资产的安全与业务的连续性。
企业信息安全保障管理是一个多层面、多因素的、综合的、动态的系统工程,它需要企业对信息系统的各个环节进行全面统一的考虑、规划、设计和架构,并要时时兼顾组织内外不断发生的业务情况,任何环节上的信息安全脆弱点都会对系统构成风险。企业的信息安全保障管理水平由与信息安全相关环节中的最薄弱环节决定。信息从产生到销毁的生命周期过程中还包括了收集、加工、交换、存储、检索、存档等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个环节出现问题都可能影响整体信息安全水平。另外,如果企业凭着一时的需要,想当然地去制定一些控制措施和引入几项技术产品,就难免使得信息安全这只“木桶” 出现若干“短板” ,从而无法整体提高信息安全保障管理水平。建立全面的信息安全保障管理体系是避免上述问题的有效手段。
二 企业信息安全保障管理目标与原则
企业在建立信息安全保障管理体系前首先要确定其目标与原则,企业信息安全管理通常强调所谓CIA三元组的目标,即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),这是信息安全的基本要素和安全建设所应遵循的基本原则。
对汽车制造企业来说,信息安全CIA的3个方面都应该是比较重要的,一方面,公司内部牵涉到核心技术、知识产权、隐私保护的信息资产,其保密性要求会比较高,另一方面,由于关系到各项应用和业务系统的持续有效运营,支持这些应用和业务系统的信息系统则必须保证可用性和完整性。对CIA的追求只是企业信息安全管理的直接目标,对于汽车制造企业,其实最终关心的是其关键业务活动的持续性和有效性,而各项关键业务活动的运转,又依赖于信息系统的支持,所以,企业业务持续性及企业的生存发展目标,才是企业信息安全保障管理的最终目标。
讲科学管理,常常提出若干管理原则,讲信息安全管理同样也不例外,但是,一旦执行起来,原则往往变成了“圆则” ,无处下手,难于考核,流于形式,成为口号。
(本文不涉密)
责任编辑: